Минимальные права безопасности для выполнения запросов LDAP в Active Directory
-
05-07-2019 - |
Вопрос
Наша компания пытается реализовать несколько приложений единого входа с использованием Active Directory (Windows Server 2003) и LDAP.Я хотел бы максимально заблокировать учетную запись, используемую для выполнения этих запросов LDAP.Как лучше всего настроить учетную запись такого типа?
Решение
Вы можете ограничить / разрешить то, что пользователь может или может видеть / запрашивать в AD, с помощью мастера делегирования. Вы можете легко получить доступ к мастеру делегирования, щелкнув правой кнопкой мыши по подразделению и выбрав Управление делегированием. Возможно, вы захотите взглянуть на эти статьи:
Проблемы безопасности по умолчанию при делегировании Active Directory
Другие советы
Пожалуйста, посмотри Как настроить Active Directory для разрешения анонимных запросов для минимальной безопасности.
По умолчанию реализация Microsoft LDAP не поддерживает Secure LDAP.Чтобы настроить безопасный LDAP с использованием SSL, сертификаты должны быть установлены как на сервере LDAP, так и на клиентах LDAP.Во многих случаях сервер LDAP является контроллером домена, на котором работает Active Directory.
Сертификаты, необходимые для запуска безопасного LDAP с использованием SSL, можно настроить несколькими способами.Идея всегда одна и та же:
- Домен Active Directory контроллер использует специальный сертификат который выдается доверенным Центр сертификации.
- Компьютер clent доверяет Удостоверяющий центр, выдающий сертификат к Активному Контроллер домена каталогов.